Microsoft schließt mit dem letzten Patchday dieses Jahres 58x Sicherheitslücken. Wer Windows und andere Software von Microsoft nutzt, sollte sicherstellen, dass in den Windows Update Einstellungen die Sicherheitspatches, unter anderem für Azure DevOps, Azure SDK, Azure Sphere, ChakraCore, Edge, Exchange Server, Visual Studio und Windows installiert hat. Ist die standard-Einstellung aktiv, so geschieht dies automatisch.
9x Lücken wurden mit dem Bedrohungsgrad “kritisch” eingestuft. Diese Schwachstellen betreffen Chakra Scripting Engine von Edge, Dynamics for Finance Operations, Exchange, Hyper-V und SharePoint.
Nutzen Angreifer diese Sicherheits-Lücken aus, so könnten sie beispielsweise aus einer VM ausbrechen (CVE-2020-17095) und Schadcode im Host-System ausführen. Eine erfolgreiche Attacke setzt voraus, dass Angreifer eine erstellte Applikation im Gast-System starten können. Anschließend kommt es Microsoft zufolge zu Fehlern bei der Verarbeitung von vSMB-Paket-Daten und im Host-System könnte Schadcode landen.
Microsoft Exchange ist über 3x kritische Schwachstellen angreifbar. Auf eine Lücke (CVE-202017132) sind drei unabhängig voneinander arbeitende Sicherheitsforscher gestoßen. Microsoft hält sich mit Details über eine mögliche Attacke bedeckt. Es heisst nur, dass ein Angreifer authentifiziert sein muss. Aufgrund der Einstufung kann man aber davon ausgehen, dass Exchange Server nach erfolgreichen Attacken vollständig kompromittiert sind.
Es wird geraten, unter Windows Updates zu prüfen, ob diese Updates bereits installiert wurden.